最佳實踐:某銀行資料中心網路AAA管理+雙因素認證一體化案例
客戶需求
該銀行需要在其採用靜態密碼驗證的網路及安全裝置、×××、堡壘機等業務系統,解決安全隱患及帳號共享問題,同時存在網路裝置不可細粒度授權使用者、變更操作的不可追溯性的困擾。基於現狀,增強帳號的安全性迫在眉睫。希望通過部署網路AAA認證伺服器,實現網路裝置管理使用者的統一身份認證,對其提出的認證請求、授權請求、審計請求做出響應。期望實現如下目標:
增加密碼安全----加強網路裝置密碼強度,提供網路裝置登入安全;
滿足國家等保要求---所有賬號實現靜態密碼+動態密碼通過RADIUS認證協議實現雙因素認證登入保護;
分級授權---對不同賬號、不同級別的使用者設定不通的操作許可權;
操作審計---有效控制賬號洩漏及共享,使登入及操作可以實名追溯;
管理收益---提升日常運維管理工作水平,保證自身的資訊資產在一個合理而完整的框架下得到妥善保護,實現風險管理,在發生安全事件時,確保資訊環境有序穩定地運作,將損失降到最低。
方案概述
1、 Windows伺服器動態密碼登入加固方案:
寧盾網路裝置AAA管理伺服器(以下簡稱DKEY AM)藉助寧盾自研的認證外掛,可以保護Windows伺服器的本地登入、遠端桌面登入的雙因素認證。
2、 Linux伺服器動態密碼登入加固方案:
寧盾DKEY AM可以保護 Linux、Unix(AIX、HP-UNIX、Saloris)、BSD 等系統(統稱類 Unix 系統)的系統本地登入、SSH 遠端登入等支援 PAM 的場景,該方案可即插即用,並能夠無縫相容原有證書體系,可支援跳板機和直接對。
3、 網路裝置WEB頁面登入的動態密碼登入加固方案:
通過網路裝置自帶的radius認證介面,實現此類裝置WEB頁面登入的動態密碼登入加固。
下面以迪普防火牆的使用者登入為例,在 Password 輸入靜態密碼+動態密碼組合。
4、 網路裝置AAA認證及動態密碼加固方案:
支援不同品牌交換機、路由器、防火牆等主流網路裝置,幫助其實現網路裝置賬號統一AAA認證授權審計、動態密碼安全加固。
網路拓撲
專案成效
通過部署寧盾一體化身份管理之後,到達的最終效果如下:
所有網路裝置、重要伺服器,每個操作和運維人員都使用獨立的帳號,並且所有裝置都使用同一個帳號;
提升伺服器訪問、堡壘機、安全裝置WEB登入安全性,實現對其訪問的認證集中審計;
實現對網路裝置細粒度的認證、授權、審計;
減少伺服器密碼管理成本;
對原有的固定密碼增加動態密碼,使帳號得到雙重保護。
專案中主要產品
寧盾DKEY AM、華為交換機、華為路由器、華三交換機、華三路由器、思科交換機、思科路由器、思科防護牆、Windows伺服器、Linux伺服器、堡壘機、迪普防火牆、啟明星辰IPS、啟明星辰防火牆等等。
轉載於:https://blog.51cto.com/nington2009/2389163